802.1X 如何對家用及小型辦公室使用者進行驗證?
家用及小型辦公室使用者通常不會使用 IEEE* 802.1X 使用者驗證,概述如下。網路專家或對這些技術有興趣的人員可以從中找到有興趣的主題。此摘要說明僅供資訊用途。進行小型無線網路設定時,用戶端必須使用無線網路卡和無線存取點 (AP) 或寬頻無線路由器,經由 DSL、纜線或其他類型的數據機來存取網際網路。
概述
元件
處理
安全性
定義
相關連結
IEEE 802.1X
概述
IEEE 802.1X 是一個連結層級的驗證標準,適用於連接埠架構的存取控制。此標準原本是用於有線網路,經過修改後可透過虛擬連接埠在無線區域網路 (WLAN) 上運作。802.1X 用於新增使用者架構的驗證,可搭配 RADIUS 和 EAP 來支援無線區域網路,使安全性得以提升。使用者必須先進行標準的身分識別及驗證,才可以存取網路。
802.1X 架構在可延伸驗證通訊協定 (EAP) 之上。完整的網路存取權限只會在確認使用者的身份後授予一次。這對於無線區域網路 (WLAN) 而言特別有利。在進行網路連線程序前取得此驗證,可以更精確的進行存取控制,因為您可以在使用者取得網路存取權之前對其分類及設定限制。
返回頁首
元件
無線網路的 IEEE 802.1X 驗證有三個主要的元件:
-驗證者 (存取點)
-要求者 (用戶端軟體)
-驗證伺服器 (RADIUS)
返回頁首
處理
以下為 802.1X 驗證程序的一般概述。
1. 網路節點 (也稱為「要求者」) 傳送「要求存取」訊息到存取點 (AP)。
2. AP (也稱為「驗證者」) 要求用戶端提供身份證明。「要求者」和「驗證者」之間的所有通訊都使用「基於區域網路的延伸認證」(EAP encapsulation over LAN,EAPOL) 通訊協定。
3. 用戶端以它的身份封包回應,然後再由「驗證者」將此封包傳送到「驗證伺服器」。「驗證者」和「驗證伺服器」之間的所有通訊皆使用 RADIUS 格式 (如下所述)。
4. 「驗證伺服器」傳送「接受」封包給存取點。「驗證者」會將用戶端連接埠放在「開啟」的狀態,並允許網路資料流量通過。
返回頁首
安全性
802.1X 驗證安全性是從無線用戶端對存取點提出授權要求時起始的,其中會驗證用戶端是否符合「可延伸驗證通訊協定」(EAP) 的 RADIUS 伺服器。這個 RADIUS 伺服器可能會驗證使用者 (如使用者密碼或使用者憑證) 或系統 (通常會透過 MAC 位址或機器憑證)。理論上來說,無線用戶端要等到傳輸完成後才能加入網路。
802.1X 使用的驗證演算法有好幾種。某些範例為: EAP-TLS、EAP-TTLS 和 Protected EAP (PEAP)。這些都是無線用戶端向 RADIUS 伺服器識別自己的身份的方法。使用 RADIUS 驗證,使用者的身份會根據資料庫被檢查。RADIUS 組成一組處理「驗證」、「授權」、和「帳戶處理」(AAA) 的標準。RADIUS 包括在多重伺服器環境中驗證用戶端的 proxy 程序。IEEE 802.1X 標準是用來控制和驗證連接埠式 802.11 無線和有線乙太網路的存取。連接埠式的網路存取控制和切換本機區域網路 (LAN) 基礎架構類似,如果驗證程序失敗,此架構會驗證連接到 LAN 連接埠的裝置,並禁止存取該連接埠。
返回頁首
定義
可延伸驗證通訊協定 (EAP): 點對點通訊協定 (PPP) 驗證的常用通訊協定,支援多種驗證方法。常見的範例為 LEAP、PEAP、EAP-TLS 和 EAP-TTLS。以下是幾種網際網路工程任務推動小組 (IETF) 要求建議 (RFC) 所處理的 EAP (例如,3748)。如需詳細資訊,請參閱 IETF 網站*。
遠端存取撥號使用者服務 (RADIUS): 網路驗證通訊協定和服務,原本在有線網路中使用,可讓遠端主機存取網路。這是一種驗證、授權和帳戶處理 (AAA) 的用戶端-伺服器通訊協定。RADIUS 現在通常在大型無線網路中,用於驗證使用者及建立動態加密金鑰。市面上的商用產品有 Cisco ACS*、Microsoft IAS* 和 Funk Steel-Belted RADIUS*。
AAA 階段
- 驗證階段: 根據本機資料庫驗證使用者名稱和密碼。驗證身份證明後,授權程序就會開始。
- 授權階段: 決定是否允許某個要求存取資源。IP 位址會被指派給撥號用戶端。
- 會計階段: 為了趨勢分析、審核、階段時間記帳、或成本配置收集的資源使用資訊。
返回頁首
相關主題:
電子電機工程師協會 (IEEE)*
Wi-Fi 聯盟*
返回頁首
適用於: | 
